2019-0805: Drupal Core: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-04-23 14:48)

Neues Advisory

Version 2 (2019-04-30 14:11)

Für Fedora 28, 29 und 30 stehen Sicherheitsupdates für 'drupal8' zur Behebung der Schwachstellen im Status 'testing' bzw. 'pending' (nur Fedora 28) zur Verfügung. Die Software wird damit jeweils auf Version 8.6.15 aktualisiert.

Version 3 (2019-05-02 10:32)

Für Fedora 28, 29 und 30 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für 'drupal7' zur Behebung von CVE-2019-11358 (SA-CORE-2019-006) im Status 'testing' bereit. Die Software wird damit jeweils auf Version 7.66 aktualisiert.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in den von Drupal genutzten Produkten Symfony und JQuery ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes, die Durchführung von Cross-Site-Scripting (XSS)-Angriffen und das Umgehen von Sicherheitsvorkehrungen.

Drupal stellt für die Versionszweige 7.x die Version 7.66, für 8.5.x die Version 8.5.15 und für 8.6.x die Version 8.6.15 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Für Debian Stretch (stable) steht ein Backport-Sicherheitsupdate für 'drupal7' bereit, um die Schwachstelle CVE-2019-11358 zu beheben.

Schwachstellen:

CVE-2019-10909

Schwachstelle in Symfony ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-10910

Schwachstelle in Symfony ermöglicht Ausführen beliebigen Programmcodes

CVE-2019-10911

Schwachstelle in Symfony ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-11358

Schwachstelle in jQuery ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.